SalesforceのAuraInspectorが攻撃ツールに転用——Experience Cloudの大量スキャンが発覚
Salesforceのサイバーセキュリティ運用センター(Cybersecurity Ops Center)が、攻撃者がExperience Cloudサイトを改変版AuraInspectorで大量スキャンしている事態を確認し、緊急警告を発した。対象となるSalesforce組織の推定40%以上にゲストユーザー権限の設定ミスが存在し、認証なしで顧客データにアクセスできる状態が放置されているという。クラウドSaaSの設定ミスを突く攻撃が急増する中、Salesforceユーザーは今すぐ設定を見直す必要がある。
AuraInspectorとは何か
AuraInspectorは、もともとSalesforceのAuraフレームワークとExperience Cloud(旧Community Cloud)のセキュリティを監査するために開発されたオープンソースツールだ。セキュリティ研究者やSalesforce管理者が、自社サイトのAuraコンポーネントやAPIエンドポイントに不適切な公開設定がないかをチェックする目的で広く使われてきた。
具体的には、AuraInspectorは以下の機能を持つ。
- Aura APIエンドポイントの列挙: Experience Cloudサイトで公開されているAuraコントローラーのアクション名を自動的に探索
- オブジェクト権限の確認: ゲストユーザープロファイルに付与されたCRUD(作成・読取・更新・削除)権限を一覧表示
- データアクセスのテスト: 実際にSOQLクエリ相当の操作を実行し、レコードデータにアクセスできるかどうかを検証
正規の用途では、Salesforce管理者が「自社のExperience Cloudサイトにどのようなデータ露出リスクがあるか」を事前に把握し、権限設定を修正するための防御的ツールとして機能する。しかし2026年3月、このツールが攻撃者によって改変され、大規模なスキャン攻撃に悪用されていることが発覚した。
攻撃の仕組み——改変版AuraInspectorによる大量スキャン
Salesforce Cybersecurity Ops Centerの警告によると、攻撃者は正規のAuraInspectorを改変し、以下のような攻撃機能を追加している。
この図は、改変版AuraInspectorを使った攻撃の流れと、悪用される主な手法を示しています。
ステップ1: ターゲットの大量収集
攻撃者はまず、インターネット上に公開されているSalesforce Experience Cloudサイトを大量に収集する。Experience Cloudサイトは特徴的なURLパターン(*.force.com、*.my.site.comなど)を持つため、検索エンジンやDNS列挙ツールで容易に特定できる。調査によると、全世界で数十万のExperience Cloudサイトが公開状態にあるとされる。
ステップ2: Aura APIエンドポイントの自動探索
改変版AuraInspectorは、収集したサイトに対して自動的にAura APIエンドポイントをプローブする。Salesforce Auraフレームワークは /aura エンドポイントを通じてサーバーサイドのコントローラーアクションを呼び出す仕組みであり、攻撃ツールは既知のコントローラー名やアクション名を総当たりで試行する。
ステップ3: 権限設定の脆弱性チェック
エンドポイントが見つかると、次にゲストユーザー(未認証ユーザー)がアクセス可能なオブジェクトとフィールドを列挙する。多くの組織では、Experience Cloudの初期設定時にゲストユーザーに過剰な権限を付与したまま運用しているケースが多く、これが攻撃の最大の足がかりになる。
ステップ4: データの一括抽出
脆弱な設定が見つかったサイトに対して、攻撃者はSOQLクエリ相当の操作でレコードデータを一括ダウンロードする。顧客の氏名、メールアドレス、電話番号、契約情報、さらにはケース(サポート履歴)データまでが流出する可能性がある。
なぜExperience Cloudが狙われるのか
Salesforce Experience Cloudが攻撃対象として特に魅力的な理由は複数ある。
設定の複雑さ: Salesforceのセキュリティモデルは、プロファイル、権限セット、共有ルール、フィールドレベルセキュリティなど多層構造になっている。この複雑さゆえに、管理者が意図せず過剰な権限を付与してしまうケースが後を絶たない。
ゲストユーザーの存在: Experience Cloudの設計上、未認証のゲストユーザーにもある程度のデータアクセスを許可する必要がある場合が多い。ポータルサイトやFAQページなど、ログインなしで閲覧できるコンテンツを提供するためだ。この「どこまでゲストに見せるか」の線引きが難しく、設定ミスの温床になっている。
高価値データの集中: Salesforceは世界最大のCRMプラットフォームであり、顧客情報、商談データ、契約情報など企業の最も機密性の高いデータが集約されている。攻撃者にとって、一度のスキャンで大量の高価値データにアクセスできる可能性がある。
SaaS設定ミス問題の深刻さ——統計データが示す実態
今回のAuraInspector悪用は、より広範な「SaaS設定ミス」問題の一部だ。業界調査が示すデータは深刻である。
この図は、SaaS設定ミスに起因するデータ侵害の統計と、Salesforce関連の主要数値を示しています。
AppOmniの2025年レポートによると、SaaS設定ミスによるデータ侵害の原因として最も多いのが**「過剰なゲスト権限」で68%を占める。次いで「API露出」が52%、「共有ルール不備」が44%**と続く。特にSalesforce組織の約40%にゲストユーザー権限の設定ミスが存在するとされ、これは今回のAuraInspectorスキャンが大規模に成功する土壌が整っていることを意味する。
| 指標 | 数値 | 出典 |
|---|---|---|
| SaaS設定ミス起因の侵害増加率 | 2024年比3.8倍(2026年Q1) | CSA 2026 |
| Salesforceゲスト権限設定ミス率 | 約40% | AppOmni 2025 |
| SaaS侵害の平均被害額 | $4.9M(約7.4億円) | IBM Cost of Data Breach 2025 |
| Experience Cloud利用企業数 | 全世界15万社以上 | Salesforce公式 |
| 発見から封じ込めまでの平均日数 | 87日 | IBM 2025 |
今すぐ実施すべき防御策
Salesforce管理者が今すぐ取るべきアクションを優先度順に解説する。
1. ゲストユーザープロファイルの権限監査
最優先で実施すべきは、Experience Cloudサイトのゲストユーザープロファイルに付与された権限の総点検だ。
- 設定 → ユーザー → ゲストユーザーから、対象プロファイルのオブジェクト権限を確認
- 不要なCRUD権限(特に「読取」権限)をすべて削除
- フィールドレベルセキュリティで、ゲストユーザーが参照できるフィールドを最小限に制限
- カスタムオブジェクトだけでなく、標準オブジェクト(Contact、Account、Case等)の権限も必ず確認
2. Auraコンポーネントのアクセス制御
Experience CloudサイトのAuraコンポーネントに適切なアクセス制御が設定されているか確認する。
@AuraEnabledメソッドにcacheable=trueが不必要に設定されていないか確認- Apexコントローラーで WITH SECURITY_ENFORCED や stripInaccessible() を使用してFLS(フィールドレベルセキュリティ)を強制
- Lightning Locker Service(またはLightning Web Security)が有効になっていることを確認
3. Salesforce Health Checkの実施
Salesforceが提供する無料のセキュリティ監査ツール「Health Check」を実行し、スコア80以上を目標にする。
- 設定 → Health Checkからアクセス可能
- パスワードポリシー、セッション設定、ネットワークアクセスなどの項目を自動チェック
- スコアが低い項目は即座に修正
4. 監査ログとイベントモニタリングの有効化
攻撃の兆候を早期に検知するため、以下のモニタリングを有効化する。
- イベントモニタリング(Event Monitoring)ライセンスの導入を検討
- ゲストユーザーによるAPI呼び出しパターンを監視
- 短時間での大量データクエリを検知するアラートルールを設定
- Login Historyでゲストユーザーセッションの異常な増加を確認
5. 認証情報管理の強化
SaaS環境全体のセキュリティを底上げするために、認証情報の管理も見直そう。特にSalesforce管理者アカウントには強固なパスワードと多要素認証(MFA)が必須だ。1Passwordのようなパスワードマネージャーを使えば、管理者ごとに一意の強力なパスワードを生成・管理でき、認証情報の使い回しによるリスクを排除できる。
他のSaaSプラットフォームとの比較
今回のSalesforce事案は氷山の一角に過ぎない。主要SaaSプラットフォームにおける設定ミスリスクを比較する。
| プラットフォーム | 主なリスク | 設定ミス率 | 影響範囲 |
|---|---|---|---|
| Salesforce Experience Cloud | ゲスト権限・Aura API露出 | 約40% | CRM全データ |
| Microsoft 365 / SharePoint | 外部共有・ゲストアクセス | 約35% | ドキュメント・メール |
| ServiceNow | ACL設定・テーブル公開 | 約30% | IT運用データ |
| Workday | 統合セキュリティ・API | 約25% | 人事・給与データ |
| AWS S3 | バケットポリシー・ACL | 約20% | 任意のデータ |
Salesforceの設定ミス率が他プラットフォームと比較して高いのは、権限モデルの複雑さとExperience Cloudの「公開サイト」という性質が組み合わさった結果だ。
日本企業への影響と対策
日本市場においてもSalesforceは広く普及しており、今回の脅威は無視できない。
日本のSalesforce利用状況: 日本国内でSalesforceを利用する企業は推定5,000社以上。うちExperience Cloudを活用しているのは数百社規模とされる。特に金融、製造、通信などの大企業がカスタマーポータルやパートナーポータルとしてExperience Cloudを運用しており、攻撃対象となるリスクがある。
日本特有の課題: 日本企業では、Salesforceの管理が情報システム部門ではなく事業部門主導で行われるケースが多い。セキュリティの専門知識が不足した状態で設定が行われ、そのまま放置される傾向がある。また、ベンダーに構築を委託した後、引き継ぎが不十分でセキュリティ設定の意図が失われるケースも多い。
個人情報保護法との関連: ゲストユーザー経由で個人情報が漏洩した場合、改正個人情報保護法に基づく報告義務(漏洩発覚から3〜5日以内に個人情報保護委員会へ速報)が発生する。SaaS設定ミスによる漏洩は「不正アクセス」に該当し、報告対象となる可能性が高い。
推奨アクション: 日本企業のSalesforce管理者は、Salesforceのリリースノートに加え、Salesforce Trust(trust.salesforce.com)のセキュリティアドバイザリを定期的に確認すべきだ。また、CCoE(Cloud Center of Excellence)を設置し、SaaS設定のガバナンスを組織横断で管理する体制の構築が望ましい。
まとめ——今すぐ取るべき3つのアクション
AuraInspectorの攻撃転用は、SaaS設定ミスが実際の攻撃に直結するリスクを改めて浮き彫りにした。以下の3ステップを今日から実行しよう。
- ゲスト権限の即時監査: Experience Cloudサイトのゲストユーザープロファイルを開き、不要な読取権限をすべて削除する。所要時間は1〜2時間程度
- Health Checkの実行とスコア改善: Salesforce Health Checkを実行し、スコア80以上を目指して設定を修正する。特にセッションタイムアウトやパスワードポリシーの強化を優先
- 継続的モニタリングの導入: ゲストユーザーのAPI呼び出しパターンを監視し、大量スキャンの兆候を早期に検知できる体制を整える。イベントモニタリングライセンスの導入も検討
防御的セキュリティツールが攻撃に転用されるケースは今後も増加が予想される。自社のSaaS環境を「攻撃者の目線」で定期的にチェックし、設定ミスをゼロに近づける努力を継続することが最も効果的な防御策だ。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星